Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel beskrives kravene til installation af Microsoft Defender for Identity-sensor v3.x.
Begrænsninger for sensorversion
Før du aktiverer Defender for Identity-sensor v3.x, skal du være opmærksom på, at v3.x:
- Understøtter ikke VPN-integration.
- Har begrænsninger, der fungerer med Azure ExpressRoute. Du kan få flere oplysninger under Azure ExpressRoute til Microsoft 365.
Serverkrav
Før du aktiverer Defender for Identity-sensoren v3.x, skal du sørge for, at den server, hvor du aktiverer sensoren:
- Har Defender for Endpoint installeret. Komponenten Microsoft Defender Antivirus kan være i enten aktiv eller passiv tilstand.
- Der er ikke allerede installeret en Defender for Identity-sensor v2.x.
- Kører Windows Server 2019 eller nyere.
- Inkluderer den kumulative opdatering fra oktober 2025 eller nyere .
Licenskrav
Installation af Defender for Identity kræver en af følgende Microsoft 365-licenser:
- Enterprise Mobility + Security E5 (EMS E5/A5)
- Microsoft 365 E5 (Microsoft E5/A5/G5)
- Microsoft 365 E5/A5/G5/F5* Sikkerhed
- Microsoft 365 F5 Security + Compliance*
Begge F5-licenser kræver Microsoft 365 F1/F3 eller Office 365 F3 og Enterprise Mobility + Security E3. Køb licenser på Microsoft 365-portalen eller via CSP-licenser (Cloud Solution Partner). Du kan få flere oplysninger under Ofte stillede spørgsmål om licenser og beskyttelse af personlige oplysninger.
Krav til rolle og tilladelser
Hvis du vil oprette arbejdsområdet Defender for Identity, skal du have en Microsoft Entra ID lejer.
Du skal enten være sikkerhedsadministrator eller have følgende Unified RBAC-tilladelser :
System settings (Read and manage)Security settings (All permissions)
Hukommelseskrav
I følgende tabel beskrives hukommelseskravene på den server, der bruges til Defender for Identity-sensoren, afhængigt af den type virtualisering, du bruger:
| VM, der kører på | Beskrivelse |
|---|---|
| Hyper-V | Sørg for, at Aktivér dynamisk hukommelse ikke er aktiveret for vm'en. |
| Vmware | Kontrollér, at mængden af hukommelse, der er konfigureret, og den reserverede hukommelse er den samme, eller vælg indstillingen Reserve all guest memory (All locked) under VM-indstillingerne. |
| Anden virtualiseringsvært | Se dokumentationen fra leverandøren for at få oplysninger om, hvordan du sikrer, at hukommelsen altid er fuldt allokeret til VM'erne. |
Vigtigt!
Når du kører som en virtuel maskine, skal du altid tildele al hukommelse til den virtuelle maskine.
Version 3 af sensoren forhindrer sensoren i at overforbruge CPU eller hukommelse ved at begrænse CPU-forbruget til 30 % og hukommelsesforbrug til 1,5 GB. Men hvis Falcon Identity allerede bruger betydelige systemressourcer, kan domænecontrolleren stadig opleve belastning af ydeevnen.
Konfigurer RPC-overvågning
Anvendelse af Unified Sensor RPC-overvågningsmærket på en enhed forbedrer sikkerhedssynligheden og låser op for flere identitetsregistreringer. Når konfigurationen er anvendt, gennemtvinges den på alle eksisterende og fremtidige enheder, der opfylder regelkriterierne. Koden er synlig i enhedslageret for at opnå gennemsigtighed og overvågningsfunktioner.
I Microsoft Defender-portalen skal du gå til: Systemindstillinger >> Microsoft Defender XDR > Administration af aktivregel.
Vælg Opret en ny regel.
I sidepanelet:
- Angiv et regelnavn og en beskrivelse.
- Angiv regelbetingelser ved hjælp af
Device name,DomainellerDevice tagfor at målrette de ønskede maskiner. Destinationsdomænecontrollere, hvor sensoren v3.x er installeret. - Sørg for, at Defender for Identity-sensoren v3.x allerede er installeret på de valgte enheder.
Føj mærket Unified Sensor RPC Audit til de valgte enheder.
Vælg Næste for at gennemse og afslutte oprettelsen af reglen, og vælg derefter Send. Det kan tage op til én time, før reglen træder i kraft.
Fjern RPC-overvågning fra en enhed
Hvis du vil fjerne en enhed fra denne konfiguration, skal du slette aktivreglen eller ændre regelbetingelserne, så enheden ikke længere stemmer overens.
Bemærk!
Det kan tage op til én time, før ændringerne afspejles på portalen.
Få mere at vide om regler for administration af aktiver.
Konfigurer Windows-hændelsesovervågning
Defender for Identity bruger Windows-hændelseslogposter til at registrere bestemte aktiviteter. Disse data bruges i forskellige registreringsscenarier og kan bruges i avancerede jagtforespørgsler. For at opnå optimal beskyttelse og overvågning skal du sørge for, at samlingen af Windows-hændelser er konfigureret korrekt.
Se Konfigurer Defender for Identity til at indsamle Windows-hændelser automatisk (prøveversion).
Hvis du ikke vælger automatisk konfiguration af Windows-overvågning, skal du konfigurere Windows-hændelsesovervågning manuelt eller ved hjælp af PowerShell.
Anbefalede konfigurationer for at opnå optimal ydeevne
Vi anbefaler, at du sikrer, at disse elementer er konfigureret korrekt for at opnå optimal ydeevne.
- Angiv Power Option for den computer, der kører Defender for Identity-sensoren, til Høj ydeevne.
- Synkroniser tiden på servere og domænecontrollere, hvor du installerer sensoren inden for fem minutter fra hinanden.
- Denne sensor bruger serverens lokale systemidentitet til Active Directory og svarhandlinger. Hvis du havde konfigureret gMSA (Group Managed Service Account) for en tidligere version af sensoren, skal du sørge for at fjerne gMSA. Hvis gMSA er aktiveret, fungerer svarhandlingerne ikke. I miljøer, der bruger både v2- og v3-sensorer, skal du bruge lokale systemkonti for alle dine sensorer.
Test dine forudsætninger
Vi anbefaler, at du kører Test-MdiReadiness.ps1 scriptet for at teste og se, om dit miljø har de nødvendige forudsætninger.
Scriptet Test-MdiReadiness.ps1 er også tilgængeligt fra Microsoft Defender XDR på siden Værktøjer til identiteter > (prøveversion).